Le RGPD et le télétravail | Politique d'accès à distance du RGPD

Afin de se conformer au règlement général sur la protection des données (RGPD), les entreprises dont les employés travaillent à distance doivent prendre des mesures supplémentaires pour sécuriser leurs données et gérer les droits d'accès des employés.

Share facebook icon linkedin icon twitter icon email icon

Accès à distance du RGPD

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre l'impact du RGPD sur le télétravail
  • Découvrir ce que doit contenir une politique en matière d'accès à distance
  • Découvrir comment Cloudflare aide les entreprises à se conformer au RGPD

Qu'est-ce que le RGPD ?

Le règlement général sur la protection des données, ou RGPD, est un ensemble de règles applicables à la collecte, au stockage et au traitement des données personnelles. Le RGPD concerne toutes les entreprises qui collectent les données des citoyens de l'Union européenne (U.E.). Les entreprises qui enfreignent le RGPD, même en dehors de l'Union européenne, s'exposent à de lourdes amendes et pénalités.

Il peut être difficile pour une entreprise de se conformer au RGPD, et le fait de recourir au télétravail implique des complications supplémentaires. Lorsque certains employés et sous-traitants d'une entreprise, voire tous, sont employés en télétravail, les équipes chargées des questions relatives à la protection des données en interne peuvent avoir moins de contrôle et de visibilité en ce qui concerne la sécurité des données. La mise en place de politiques de sécurité rigoureuses en matière d'accès à distance peut contribuer à protéger les données personnelles et confidentielles qui sont couvertes par le RGPD.

Qu'est-ce qu'une politique en matière d'accès à distance ?

Une politique en matière d'accès à distance est un ensemble de normes de sécurité applicables aux employés et aux appareils utilisés à distance. En général, c'est l'équipe informatique ou chargée de la sécurité des données d'une entreprise qui élabore la politique. L'utilisation de réseaux privés virtuels (VPN), l'installation de logiciels antivirus sur les appareils des employés et l'authentification multi-facteur (MFA) sont autant d'exemples d'éléments qui peuvent être inclus dans une politique de sécurité en matière d'accès à distance.

Quelles sont les exigences du RGPD ?

Le RGPD constitue un ensemble très large de réglementations. En bref, les principales exigences du RGPD sont les suivantes :

  • Les consommateurs doivent savoir quelles données sont collectées à leur sujet
  • Les entreprises sont tenues de supprimer les données personnelles d'un client si celui-ci en fait la demande
  • Les clients doivent pouvoir transférer leurs données d'une entreprise à l'autre
  • Les entreprises doivent obtenir le consentement clair et sans ambiguïté des clients avant de collecter leurs données
  • Les données personnelles doivent être chiffrées
  • Les données personnelles devront utiliser la « pseudonymisation », afin de ne pas être associées à une personne en particulier
  • Aucune personne non autorisée ne doit pouvoir consulter les données personnelles
  • Les entreprises qui sont victimes d'une fuite de données révélant des données personnelles doivent alerter rapidement les autorités compétentes
  • Les entreprises ne doivent pas partager les données personnelles avec des tiers dans les régions où le RGPD n'est pas en vigueur ou avec des tiers qui ne s'y conforment pas
  • Toutes les entreprises d'une certaine envergure doivent nommer un délégué la protection des données

Certaines de ces exigences ne sont pas concernées par le télétravail, mais d'autres le sont directement. En outre, dans la mesure où la sécurité des données constitue une composante essentielle du RGPD, les entreprises qui autorisent leurs employés à travailler à distance doivent veiller à prendre les mesures nécessaires pour protéger les données auxquelles leurs employés ont accès à distance.

Quelles sont les exigences du RGPD en ce qui concerne l'accès aux données en dehors de l'UE ?

De nombreuses entreprises européennes possèdent des filiales à l'étranger ou emploient des travailleurs à distance qui se trouvent hors de l'UE. Dans la mesure où les données personnelles sont conservées par l'entreprise et ne sont pas divulguées, le RGPD est respecté, même si un employé habilité à y accéder le fait dans une région où le RGPD n'est pas en vigueur.

Par exemple, imaginons que Bob soit employé dans une entreprise en France qui collecte des données sur ses clients et qu'il parte travailler un mois aux États-Unis (où le RGPD n'est pas en vigueur). Sa société est toujours en conformité avec le RGPD même s'il consulte les données des clients depuis son ordinateur portable aux États-Unis.

Toutefois, ce raisonnement ne vaut pas pour les fournisseurs indépendants et les agences externes, puisqu'il s'agit de tiers ne faisant pas partie de l'entreprise. Si un fournisseur à distance situé à l'étranger et ne respectant pas la réglementation accède aux données de l'entreprise de Bob, cela constitue une violation du RGPD.

Il est donc important de mettre en place un contrôle rigoureux des accès lorsque l'on gère du personnel travaillant à distance. Seules les personnes désignées et autorisées au sein de l'entreprise doivent pouvoir accéder aux données concernant des citoyens de l'UE.

Que doivent également faire les entreprises dont le personnel travaille à distance pour se conformer au RGPD ?

En général, le RGPD cherche avant tout à garantir que les données des citoyens demeurent à la fois sécurisées et confidentielles. Ainsi, ce qui suit correspond à un aspect très important de toute politique d'accès à distance (liste non exhaustive) :

Protéger à la fois les données en transit et au repos.

Les données en transit sont des données qui circulent d'un point A à un point B. Il peut par exemple s'agir de données circulant entre une application SaaS et l'appareil d'un utilisateur. Les données au repos sont des données stockées, par exemple sur le disque dur de l'ordinateur portable de l'utilisateur. Dans les deux cas, elles doivent être sécurisées.

Le contrôle de l'accès et le chiffrement sont des technologies fondamentales en matière de protection des données. Comme tous les autres employés, les personnes travaillant à distance doivent avoir un motif valable pour accéder à des données personnelles, et leur accès à ces données doit être contrôlé. Les technologies de gestion de l'identité et des accès (IAM) permettent d'empêcher les utilisateurs non autorisés de consulter et de modifier les données.

En outre, les données transitant via les réseaux, y compris sur Internet, doivent être chiffrées avec le protocole HTTPS, un VPN ou au moyen d'une autre méthode. (Les applications fonctionnant en cloud peuvent compliquer cette règle pour les employés travaillant à distance. Lisez cet article concernant les VPN d'entreprise pour en savoir plus.) De plus, les données doivent être chiffrées lorsqu'elles sont stockées ou « au repos » dans les serveurs et les disques durs. Pour y parvenir, les équipes informatiques doivent faire appliquer leurs politiques de sécurité pour assurer le chiffrement sur tous les appareils, même sur les appareils personnels des employés dans certains cas.

Protéger les postes de travail des employés.

Les postes de travail des employés travaillant à distance (ordinateurs portables, ordinateurs de bureau, smartphones, etc.) doivent être protégés contre les cyber-attaques, car toute infection par un logiciel malveillant peut entraîner une fuite de données. Les appareils doivent être dotés au minimum d'un logiciel antivirus. Les passerelles de sécurité Web peuvent également contribuer à protéger les employés lorsqu'ils naviguent sur Internet.

Toutefois, les pertes d'appareils sont encore plus fréquentes que les infections par des logiciels malveillants : les employés oublient parfois des ordinateurs portables ou des smartphones contenant des données confidentielles dans un lieu public. C'est également pour cela que le chiffrement des appareils est extrêmement important.

Se protéger contre les attaques par hameçonnage et autres formes de vol de compte.

Les attaques par hameçonnage demeurent l'une des principales sources de fuites de données. Une attaque par hameçonnage est une attaque qui consiste à amener par la ruse un utilisateur à communiquer ses informations de connexion, ce qui permet de lui voler son compte. Les conséquences d'un vol de compte peuvent être désastreuses pour une entreprise qui essaye de respecter la réglementation, car le pirate peut alors l'infiltrer et consulter, divulguer ou voler les données des clients.

Les attaques par force brute et ayant recours aux mots de passe les plus courants peuvent également aboutir à des vols de comptes, les entreprises doivent donc appliquer une politique stricte en matière de mots de passe. Personne ne doit pouvoir deviner le mot de passe d'un employé, et celui-ci doit pouvoir résister à la plupart des attaques menées par des bots. Dans la mesure du possible, les entreprises doivent instaurer un système de double authentification pour chaque application utilisée par l'entreprise.

Comment Cloudflare contribue-t-elle au respect du RGPD ?

Cloudflare for Teams permet de protéger les données, indépendamment du lieu où se trouvent les équipes. Cloudflare Access permet aux entreprises de gérer la sécurisation des accès sans avoir recours à des VPN, en plaçant les ressources de l'entreprise derrière le réseau mondial de Cloudflare. Cloudflare Gateway bloque les sites web malveillants grâce au filtrage DNS, donne une visibilité complète sur le trafic au sein et en dehors des réseaux des entreprises, et utilise l'isolation de navigateur pour lutter contre les menaces zero-day. Cloudflare for Teams permet aux entreprises de renforcer leur sécurité en réduisant le risque de violation des données qui les empêcherait de se conformer au RGPD .

Cloudflare elle-même respecte le RGPD, c'est donc également le cas de ses clients.